С дырой. В сотнях тысяч смартфонах Xiaomi нашли опасную уязвимость

5 апреля 2019, 10:03
Цей матеріал також доступний українською

Многие смартфоны китайской компании Xiaomi оказались с дырой: но не в экране, а в безопасности.

Уязвимость в предварительно установленном приложении от Xiaomi позволяет хакерам взломать устройство, сообщает профильный ресурс gbhackers.com.  

Исследователи безопасности из компании Checkpoint обнаружили критическую уязвимость в предустановленном приложении безопасности Guard Provider", которое позволяет злоумышленнику запустить атаку типа "Человек посередине" (MiTM). Эта уязвимость подвергает атаке, по самым скромным подсчетам, более 150 000 устройств. Но, поскольку приложение устанавливается почти во все смартфоны бренда, под угрозой могут быть миллионы гаджетов.

Видео дня

Предустановленное приложение безопасности в телефонах Xiaomi нацелено на защиту телефона путем обнаружения вредоносных программ, но уязвимость в приложении подвергает пользователя атаке.

Сетевой трафик Guard не защищен, что позволяет подключенному к той же сети Wi-Fi, что и жертва, проводить атаку MiTM и внедрять вредоносный код в составе обновления SDK стороннего производителя.

"Есть несколько скрытых недостатков в использовании нескольких SDK в одном приложении. Потому что все они разделяют контекст приложения и разрешения. Один SDK может поставить под угрозу другие, частное хранилище SDK не может быть изолировано, поэтому другой SDK может получить к нему доступ", - отметили эксперты.

Атака использует незащищенный HTTP-трафик, уязвимость обхода пути и отсутствие целостности.

"Вполне понятно, что пользователи будут доверять предустановленным приложениям производителей смартфонов, особенно когда эти приложения утверждают, что защищают сам телефон. Однако эта уязвимость, обнаруженная в Guard Provider от Xiaomi, поднимает тревожный вопрос о том, кто охраняет охранника", - добавили в компании Checkpoint.

Checkpoint сообщила об уязвимости в Xiaomi, и она уже исправлена, пользователям рекомендуется обновить приложение.

poster
Подписаться на ежедневную email-рассылку
материалов раздела Техно
Рассылка о том как технологии изменяют мир
Каждый понедельник

Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.

Показать ещё новости
Радіо НВ
X